Mengkonfigurasi Cisco ASA dalam mode Transparan: Layer2 DMZ w / Vlan translation

Saya berada di tengah-tengah proyek untuk memigrasikan beberapa ethernet switched dot1q trunk yang ada di belakang firewall ASA ... trunks ini masing-masing memiliki lima vlan (bernomor 51 - 55). Ini adalah gambar sederhana dari layanan layer2 asli ...

Salah satu persyaratan adalah memiliki konteks firewall ASA per Vlan di trunk dot1q asli. Ini berarti saya akhirnya menggunakan BVI untuk menjembatani antarmuka INSIDE baru ke antarmuka DMZ di setiap konteks FW. Karena kendala lain, saya berakhir dengan konfigurasi FW seperti ini (saya meringkas semua hal konteks untuk menyederhanakan pertanyaan) ...

firewall transparent
!
interface GigabitEthernet0/1.51
 vlan 51
 nameif INSIDE
 security-level 100
 bridge-group 1
!
interface GigabitEthernet0/2.951
 vlan 951
 nameif DMZ
 security-level 50
 bridge-group 1
!
interface BVI1
 ip address 10.10.51.240 255.255.255.0 standby 10.10.51.241
!

Cisco ASAs dalam mode transparan berakhir menggunakan dua ID vlan yang berbeda untuk menghubungkan layanan vlan layer2 tunggal. Hubungkan kedua vlan melalui interface BVI1; yang bridge-group 1konfigurasi pada setiap antarmuka fisik membuat hubungan antara Vlan51 dan Vlan951 di config di atas.

Asumsikan ASA: Gi0 / 2 terhubung ke 4507: Gi1 / 2 ... Perhatikan apa yang terjadi pada antarmuka DMZ ... ASA DMZ Vlan adalah 951, dan ini terhubung melalui batang dot1q ke sakelar DMZ (Cat4507). Saya perlu menghubungkan D1 ke switchport 4507: Gi1 / 1, tetapi saya harus memberikan layanan Vlan951-955 ke D1 sebagai dot1q Vlan51-55 pada 4507: Gi1 / 1. Dengan kata lain, perselisihan Vlan BVI yang harus saya lakukan pada ASA mengacaukan penomoran Vlan dalam definisi layanan asli saya.

Sayangnya, saya tidak bisa dengan mudah memberi nomor baru pada Vans pada D1. Solusi yang sempurna adalah dengan menerjemahkan Vlan951 pada 4507: Gi1 / 2 menjadi Vlan51 di 4507: Gi1 / 1. Cisco memiliki fitur yang disebut pemetaan vlan , tetapi tampaknya memerlukan QinQ ... semua layanan saya adalah dot1q sederhana ... 4500 dokumen pemetaan vlan tidak jelas tentang bagaimana mereka menangani enkapsulasi dot1q sederhana.

Saya tahu saya bisa menerjemahkan vlan di 4500 melalui kabel loopback, tetapi ini membakar dua port tambahan per Vlan ... total sepuluh port tambahan untuk semua Vans dalam layanan (v51 - v55).

Pertanyaan

Lihat diagram di bawah ini.

Bagaimana saya bisa menerjemahkan semua Vans bernomor 95x pada trunk 4507: Gi1 / 2 dot1q menjadi bernomor Vlan5x pada 4507: Gi1 / 1 dot1q? Saya perlu menggunakan jumlah port paling sedikit yang dikonsumsi untuk "biaya terjemahan". Harap sertakan konfigurasi untuk semua port yang diperlukan jawaban Anda.

Saya terbuka untuk pemetaan vlan , jika seseorang dapat menjelaskan cara kerjanya di topologi ini ...

Peralatan

• 4507R + E, Sup7L-E dengan iOS XE 3.4.0
• ASA5555X dengan 9.0 (2)

Saya tidak memiliki SUP7 untuk diuji, tetapi ia bekerja pada SUP6 dan SUP32, saya akan menganggap SUP7 mempertahankan fungsi ini.

Saya sudah menguji antara JNPR M320 <-> SUP32, dan ' pemetaan vlan JNPR SUP32 ' bekerja dengan baik.

Tidak perlu untuk QinQ, apa yang dilakukan opsi QinQ adalah menambahkan tag teratas ke satu tag khusus. Jadi switchport vlan mapping 1042 dot1q-tunnel 42akan memetakan tumpukan [1042] yang masuk ke [42 1042] tumpukan. Berbeda dengan switchport vlan mapping 1042 42yang memetakan dot1q Vlan [1042] masuk ke dot1q Vlan [42].

Konfigurasi JNPR M320:

{master}[edit interfaces ge-0/1/0 unit 1042]
user@m320# show 
vlan-id 1042;
family inet {
    address 10.42.42.1/24;
}
{master}[edit interfaces ge-0/1/0 unit 1042]
user@m320# run show interfaces ge-0/1/0               
Physical interface: ge-0/1/0, Enabled, Physical link is Up
  Interface index: 135, SNMP ifIndex: 506
  Description: B: SUP32 ge5/1
  Link-level type: Flexible-Ethernet, MTU: 9192, Speed: 1000mbps, BPDU Error: None,
  MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled,
  Auto-negotiation: Enabled, Remote fault: Online
  Device flags   : Present Running
  Interface flags: SNMP-Traps Internal: 0x4000
  CoS queues     : 8 supported, 8 maximum usable queues
  Current address: 00:12:1e:d5:90:7f, Hardware address: 00:12:1e:d5:90:7f
  Last flapped   : 2013-02-19 09:14:29 UTC (19w6d 21:12 ago)
  Input rate     : 4560 bps (5 pps)
  Output rate    : 6968 bps (4 pps)
  Active alarms  : None
  Active defects : None
  Interface transmit statistics: Disabled

Konfigurasi SUP32:

SUP32#show run int giga5/1
Building configuration...

Current configuration : 365 bytes
!
interface GigabitEthernet5/1
 description F: M320 ge-0/1/0
 switchport
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport nonegotiate
 switchport vlan mapping enable
 switchport vlan mapping 1042 42
 mtu 9216
 bandwidth 1000000
 speed nonegotiate
 no cdp enable
 spanning-tree portfast edge trunk
 spanning-tree bpdufilter enable
end

SUP32#show ru int vlan42
Building configuration...

Current configuration : 61 bytes
!
interface Vlan42
 ip address 10.42.42.2 255.255.255.0
end

SUP32#sh int GigabitEthernet5/1 vlan mapping  
State: enabled
Original VLAN Translated VLAN
------------- ---------------
  1042           42  

SUP32#sh int vlan42                           
Vlan42 is up, line protocol is up 
  Hardware is EtherSVI, address is 0005.ddee.6000 (bia 0005.ddee.6000)
  Internet address is 10.42.42.2/24
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec, 
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:09, output 00:01:27, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  L2 Switched: ucast: 17 pkt, 1920 bytes - mcast: 0 pkt, 0 bytes
  L3 in Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes mcast
  L3 out Switched: ucast: 0 pkt, 0 bytes mcast: 0 pkt, 0 bytes
     38 packets input, 3432 bytes, 0 no buffer
     Received 21 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles 
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     26 packets output, 2420 bytes, 0 underruns
     0 output errors, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out

Dan

SUP32#ping 10.42.42.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.42.42.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
SUP32#sh arp | i 10.42.42.1
Internet  10.42.42.1             12   0012.1ed5.907f  ARPA   Vlan42
SUP32#show mac address-table dynamic address 0012.1ed5.907f
Legend: * - primary entry
        age - seconds since last seen
        n/a - not available

  vlan   mac address     type    learn     age              ports
------+----------------+--------+-----+----------+--------------------------
Active Supervisor:
*  450  0012.1ed5.907f   dynamic  Yes          0   Gi5/1
*   50  0012.1ed5.907f   dynamic  Yes          0   Gi5/1
*   40  0012.1ed5.907f   dynamic  Yes          0   Gi5/1
*   42  0012.1ed5.907f   dynamic  Yes          5   Gi5/1


user@m320# run ping 10.42.42.2 count 2 
PING 10.42.42.2 (10.42.42.2): 56 data bytes
64 bytes from 10.42.42.2: icmp_seq=0 ttl=255 time=0.495 ms
64 bytes from 10.42.42.2: icmp_seq=1 ttl=255 time=0.651 ms

--- 10.42.42.2 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.495/0.573/0.651/0.078 ms

{master}[edit interfaces ge-0/1/0 unit 1042]
user@m320# run show arp no-resolve |match 10.42.42.2 
00:05:dd:ee:60:00 10.42.42.2      ge-0/1/0.1042        none

beberapa dukungan untuk jawaban @ytti di atas, semoga membantu:

oranye # sh ver
Perangkat Lunak Cisco IOS, Perangkat Lunak IOS-XE, Perangkat Lunak Switch Catalyst 4500 L3 (cat4500e-UNIVERSALK9-M), Versi 03.04.00.SG PERANGKAT LUNAK SOLEWARE (fc3)
...
oranye # sh mod
Tipe Chassis: WS-C4507R + E

Mod Ports Jenis Kartu Model No. Seri
--- + ----- + -------------------------------------- + - ----------------- + -----------
 4 4 Sup 7-E 10GE (SFP +), 1000BaseX (SFP) WS-X45-SUP7-E CAT1xxxxxxx 
...
oranye # sh jalankan int ten4 / 1
Konfigurasi bangunan ...

Konfigurasi saat ini: 112 byte
!
antarmuka TenGigabitEthernet4 / 1
 trunk mode switchport
 pemetaan switchport vlan 100 10
 interval beban 30
akhir

oranye # sh jalankan int ten4 / 2
!
antarmuka TenGigabitEthernet4 / 2
 trunk mode switchport
 switchport vlan mapping 10 100
 interval beban 30
...
pemetaan oranye # sh vlan 
Antarmuka Te4 / 1:
VLAN on wire Operasi VLAN yang Diterjemahkan
------------------------------ --------------- ----- ---------
100 10 1-ke-1
Antarmuka Te4 / 2:
VLAN on wire Operasi VLAN yang Diterjemahkan
------------------------------ --------------- ----- ---------
10 100 1-ke-1

Saya juga tidak memiliki SUP yang tersedia, tetapi dapat dengan mudah melakukan ini pada Brocade Netiron.

Cukup masukkan dua port dalam VPLS dan beri tag dengan vlan yang berbeda. Seperti itu:

router mpls

    vpls translate test 100
     vlan 200
     tagged ethe 1/1
     vlan 300
     tagged eth1/2

Yang menyenangkan tentang Brocade adalah Anda dapat mengonversi tag apa pun menjadi tag lain, tag ganda menjadi tag ganda, tag ganda menjadi tag tunggal, dan tag tunggal menjadi tag ganda